MySQL数据库启用安全审计功能

数据库审计（简称DBAudit）能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。数据库审计可以记录某用户在某个时间点对数据库的操作，包括登录、连接、对表的增删改查等等，便于责任追溯，问题查找，当然开启审计功能在一定方面会影响数据库性能。

审计插件

本文是基于插件(MariaDB Audit Plugin)实现数据库的审计功能。

• 操作系统：window 7
• MySQL版本：MySQL5.7.27
• MariaDB版本：MariaDB5.5.66

【注】MySQL版本与MariaDB版本尽可能的匹配，由于MariaDB官网与MySQL并非同步，但尽可能的缩小版本的差异性。可以根据自己的系统进行下载，我这里下载64位的。
MariaDB5.5.66官方下载：https://downloads.mariadb.org/mariadb/5.5/

下载后进行解压，在解压相对目录(…\lib\plugin)下查找到文件 server_audit.dll

将上面文件复制到MySQL插件库目录中相对安装目录(…\lib\plugin)

不清楚MySQL插件库的路径也可通过SQL查询插件库的路径信息；

mysql> SHOW GLOBAL VARIABLES LIKE 'plugin_dir';

插件安装

查看数据库已经安装的插件

mysql> SELECT * from mysql.plugin ;

执行以上SQL,未查询到安装的插件信息。

安装审计插件

mysql> INSTALL PLUGIN server_audit SONAME 'server_audit.dll';

执行以上插件安装命令，如下图所示：

查看安装结果

mysql> show plugins;

如下图所示则表示插件已安装成功。

查看默认参数配置

mysql> show variables like '%audit%';

查看默认参数server_audit_logging=off，表示审计功能未开启。

开启审计功能参数配置

• server_audit_output_type：指定日志输出类型，可为SYSLOG或FILE
• server_audit_logging：启动或关闭审计
• server_audit_events：指定记录事件的类型，可以用逗号分隔的多个值(connect,query,table)
  参数与MariaDB Audit Plugin插件版本有以下关系：
  CONNECT, QUERY, TABLE (MariaDB Audit Plugin < 1.2.0)
  CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML (MariaDB Audit Plugin >= 1.2.0)
  CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML, QUERY_DCL (MariaDB Audit Plugin >=1.3.0)
  CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML, QUERY_DCL, QUERY_DML_NO_SELECT (MariaDB Audit Plugin >= 1.4.4)
• server_audit_file_path：如server_audit_output_type为FILE，使用该变量设置存储日志的文件，可以指定目录，默认存放在数据目录的server_audit.log文件中
• server_audit_file_rotate_size：限制日志文件的大小
• server_audit_file_rotations：指定日志文件的数量，如果为0日志将从不轮转
• server_audit_file_rotate_now：强制日志文件轮转
• server_audit_incl_users：指定哪些用户的活动将记录，connect将不受此变量影响，该变量比server_audit_excl_users优先级高
• server_audit_syslog_facility：默认为LOG_USER，指定facility
• server_audit_syslog_ident：设置ident，作为每个syslog记录的一部分
• server_audit_syslog_info：指定的info字符串将添加到syslog记录
• server_audit_syslog_priority：定义记录日志的syslogd priority
• server_audit_excl_users：该列表的用户行为将不记录，connect将不受该设置影响
• server_audit_mode：标识版本，用于开发测试

参数配置可参考官网：https://mariadb.com/kb/en/mariadb/server_audit-system-variables

#开启审计功能
mysql> set global server_audit_logging=on; 
#指定哪些操作被记录到日志文件中
mysql> set global server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL'; 
#设置文件大小 默认1000000
mysql> set global server_audit_file_rotate_size=20000000;
#指定日志文件的数量，如果为0日志将从不轮转
mysql> set global server_audit_file_rotations=200;
#强制日志文件轮转
mysql> set global server_audit_file_rotate_now=on;

执行以上基本参数配置，在查看参数配置可以看到 server_audit_logging=on 表示审计功能已开启。

通过常规SQL执行，可以在数据库安装目录…\data路径下看到生成一个 server_audit.log文件，记录了所有的数据库操作相关信息(包含时间、用户、事件类型、执行的SQL等)，记录数据便于责任追溯以及问题查找。

打开文件查看内容如下：

20191210 17:43:29,PC-20170908RWSO,root,localhost,2,8,QUERY,,'set global server_audit_file_rotate_now=on',0
20191210 17:43:47,PC-20170908RWSO,root,localhost,2,9,QUERY,,'show variables like \'%audit%\'',0
20191210 17:46:13,PC-20170908RWSO,root,localhost,2,10,QUERY,,'SELECT * from mysql.plugin',0
20191210 17:48:37,PC-20170908RWSO,root,localhost,2,11,QUERY,,'select host,user from mysql.user',0

【注】重启MySQL数据库服务后发现审计功能又关闭了。

重启数据库发现通过以上方式用命令行配置的参数只对本次服务有效果，服务重启后配置信息就全部初始化了，因此想要长久生效需要在配置文件 my.ini 配置文件(D:\MySQL\mysql5.7.27\my.ini)中进行配置,配置信息如下，需要更多参数的可自行添加。需要添加到[mysqld]下方，重启服务配置生效。

打开配置文件进行必要参数配置，并配置了文件输出路径D:\MySQL\mysql5.7.27\data\auditlogs。

[mysqld]
port = 3306
basedir=D:\MySQL\mysql5.7.27
datadir=D:\MySQL\mysql5.7.27\data 
max_connections=200
character-set-server=utf8
default-storage-engine=INNODB
sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES

#防止server_audit 插件被卸载 进行配置文件配置
server_audit=FORCE_PLUS_PERMANENT
#指定哪些操作被记录到日志文件中
server_audit_events='CONNECT,QUERY,TABLE,QUERY_DDL'
#开启审计功能
server_audit_logging=on
#默认存放路径，可以不写，默认到data文件下
server_audit_file_path =D:\MySQL\mysql5.7.27\data\auditlogs
#设置文件大小 默认1000000
server_audit_file_rotate_size=20000000
#指定日志文件的数量，如果为0日志将从不轮转
server_audit_file_rotations=200
#强制日志文件轮转
server_audit_file_rotate_now=ON

[mysql]
default-character-set=utf8

重启MySQL数据库，查看配置参数。

通过常规SQL执行，可以在数据库安装目录路径D:\MySQL\mysql5.7.27\data\auditlogs下看到生成一个 server_audit.log文件

打开文件查看内容

20191210 17:59:28,PC-20170908RWSO,root,localhost,2,0,CONNECT,,,0
20191210 17:59:28,PC-20170908RWSO,root,localhost,2,1,QUERY,,'select @@version_comment limit 1',0
20191210 17:59:46,PC-20170908RWSO,root,localhost,2,2,QUERY,,'show variables like \'%audit%\'',0
20191210 18:00:45,PC-20170908RWSO,root,localhost,2,3,QUERY,,'select host ,user from mysql.user',0
20191210 18:01:19,PC-20170908RWSO,root,localhost,2,4,QUERY,,'show plugins',0

插件卸载

mysql> UNINSTALL PLUGIN server_audit;